Nginx 服务器 SSL 证书安装部署

操作场景

本文档指导您如何在 Nginx 服务器中安装 SSL 证书。

说明：

• 本文档以证书名称 m.huweissl.com 为例。

• Nginx 版本以 nginx/1.18.0 为例。

• 当前服务器的操作系统为 CentOS 7，由于操作系统的版本不同，详细操作步骤略有区别。

• 安装 SSL 证书前，请您在 Nginx 服务器上开启 “443” 端口，避免证书安装后无法启用 HTTPS。具体可参考 服务器如何开启443端口？

前提条件

• 已准备文件远程拷贝软件，例如 WinSCP（建议从官方网站获取最新版本）。

• 已准备远程登录工具，例如 PuTTY 或者 Xshell（建议从官方网站获取最新版本）。

• 已在当前服务器中安装配置 Nginx 服务。

• 安装 SSL 证书前需准备的数据如下：

操作步骤

证书安装

1. 已在 护卫SSL会员中心 管理控制台 中下载并解压缩 m.huweissl.com 证书文件包到本地目录。
   解压缩后，可获得相关类型的证书文件。其中包含 Nginx 文件夹和 CSR 文件：

• 文件夹名称：Nginx

• 文件夹内容：

• 1_m.huweissl.com_bundle.crt 证书文件

• 2_m.huweissl.com.key 私钥文件

• CSR 文件内容： m.huweissl.com.csr 文件

  说明：

•  CSR 文件是申请证书时由您上传或系统在线生成的，提供给 CA 机构。安装时可忽略该文件。

•  

1. 使用 “WinSCP”（即本地与远程计算机间的复制文件工具）登录 Nginx 服务器。

2. 将已获取到的 1_m.huweissl.com_bundle.crt 证书文件和 2_m.huweissl.com.key 私钥文件从本地目录拷贝到 Nginx 服务器的 /usr/local/nginx/conf 目录（此处为 Nginx 默认安装目录，请根据实际情况操作）下。

3. 远程登录 Nginx 服务器。例如，使用 “PuTTY” 工具 登录。

4. 编辑 Nginx 根目录下的 conf/nginx.conf 文件。修改内容如下：

   说明：

       此操作可通过执行 vim /usr/local/nginx/conf/nginx.conf 命令行编辑该文件。

• 由于版本问题，配置文件可能存在不同的写法。例如：Nginx 版本为 nginx/1.15.0 以上请使用 listen 443 ssl 代替 listen 443 和 ssl on。

server {

    #SSL 访问端口号为 443

    listen 443 ssl;

 #填写绑定证书的域名

    server_name m.huweissl.com;

 #证书文件名称

    ssl_certificate 1_m.huweissl.com_bundle.crt;

 #私钥文件名称

    ssl_certificate_key 2_m.huweissl.com.key;

    ssl_session_timeout 5m;

 #请按照以下协议配置

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

 #请按照以下套件配置，配置加密套件，写法遵循 openssl 标准。

    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;

    ssl_prefer_server_ciphers on;

    location / {

    #网站主页路径。此路径仅供参考，具体请您按照实际目录操作。

        root html;

        index  index.html index.htm;

    }

}

1. 在 Nginx 根目录下，通过执行以下命令验证配置文件问题。

2.  

./sbin/nginx -t

• 若存在，请您重新配置或者根据提示修改存在问题。

• 若不存在，请执行 步骤7。

1. 重启 Nginx，即可使用 https://m.huweissl.com 进行访问。

HTTP 自动跳转 HTTPS 的安全配置（可选）

如果您需要将 HTTP 请求自动重定向到 HTTPS。您可以通过以下操作设置：

1. 根据实际需求，选择以下配置方式：

• 在页面中添加 JS 脚本。

• 在后端程序中添加重定向。

• 通过 Web 服务器实现跳转。

• Nginx 支持 rewrite 功能。若您在编译时没有去掉 pcre，您可在 HTTP 的 server 中增加 return 301 https://$host$request_uri;，即可将默认80端口的请求重定向为 HTTPS。修改如下内容：

  说明：

•  

•  

• 未添加注释的配置语句，您按照下述配置即可。

• 由于版本问题，配置文件可能存在不同的写法。例如：Nginx 版本为 nginx/1.15.0 以上请使用 listen 443 ssl 代替 listen 443 和 ssl on。

server {listen 443 ssl;#填写绑定证书的域名server_name m.huweissl.com; #证书文件名称ssl_certificate  1_m.huweissl.com_bundle.crt; #私钥文件名称ssl_certificate_key 2_m.huweissl.com.key; ssl_session_timeout 5m;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;ssl_protocols TLSv1 TLSv1.1 TLSv1.2;ssl_prefer_server_ciphers on;location / {

   #网站主页路径。此路径仅供参考，具体请您按照实际目录操作。  

   root html;

  index index.html index.htm;

}

}server {listen 80;#填写绑定证书的域名server_name m.huweissl.com; #把http的域名请求转成httpsreturn 301 https://$host$request_uri;

}

1. 若修改完成，重启 Nginx。即可使用 http://m.huweissl.com 进行访问。

   SSL证书

   域验证 组织验证 扩展验证 单域 多域 通配符 科摩多 SECTIGO

   法律

   法律声明及隐私权政策 服务条款

   公司

   关于护卫SSL 客户案例 诚征英才 联系我们

   通过 support@huweissl.com 联系我们

   

   Copyright © 厦门湃瑞珅网络科技有限公司  版权所有  闽ICP备2021010547号-1  公安备案： 35020602001916号